Страница 1 из 1

Пару вопросов по ipsec-tools

Добавлено: 2010-03-16 14:04:42
kharkov_max
День добрый.

Есть 2 сервера freebsd сервер А и сервер B между которыми настроен тунель на ipsec-tools.
На каждом из серверов есть еще тунели на другие серверы, другие тунели работают на 500 порту.

1. Если A и B связаны по 500 порту все работает нормально.
Но если скажем на сервере B я выставляю другой порт для подключения скажем 65000, соответственно меняя в нужном месте настройки на сервере A то: тунель поднимается, если нет пакетов засыпает и потом его можно реанимировать только с сервера A (к примеру пингом). Если пытаюсь как нить поднять тунель с сервера B то ничего не получается, не работает даже после перезагрузки B сервера, пока не включу, к примеру, пинги на A сервере.

Как бы заставить нормально работать на разных портах ?

2. Если в тунелях не ходят пакеты, происходит как бы "засыпание" racoon. Восстановить легко, достаточно пустить пинг или обратиться из одной сети к другой, но это большой таймаут, как избавиться от "засыпания" и подерживать связь постоянно ?

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-17 10:15:25
kharkov_max
UP

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-17 18:02:25
kharkov_max
UP
Не уж то ни кто и не подскажет ?

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-18 11:18:49
kharkov_max
Ну хоть по второму пункту подскажете...
Как поддерживать тунель постоянно ?

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-18 12:48:28
kharkov_max
В первой фазе установлен параметр lifetime time = 600 sec
Во второй фазе также lifetime time = 600 sec

Эти параметры отвечают за время жизни ключей соединения соответствующих фаз.
Если в тунеле нет пакетов то тунель "засыпает" именно через 600 сек.

Когда я увеличиваю эти параметры, скажем до 24 hour, то "засыпание" тунеля видимо происходит позже.
Как минимум я проверил через 30 мин и 60 мин пинги ходят сразу без задержки (задержки на формирование новых ключей).

С одной стороны это выход, т.е. можно поставить эти параметры очень большими и все.
Но с другой стороны, это уменьшает защищенность тунеля.
Т.е. чем чаще переформировываются ключи, тем защищенее тунель.

Вопрос !!!
Есть ли в ipsec-tools механизм поддержки тунеля в рабочем состоянии даже если определенное время в тунеле не ходят пакеты?

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-19 10:17:14
kharkov_max
UP

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-22 8:43:27
kharkov_max
UP

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-24 11:12:06
kharkov_max
UP
Не уж то ни кто не натыкался ?

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-25 14:54:22
FreeBSP
http://www.opennet.ru:8101/openforum/vs ... 686.html#5
я гуглил так
http://www.google.ru/search?q=ipsec-tools+keep+alive
это мысли на счет отваливания тоннеля по таймауту
на счет несимметричных портов - хз. ipsec на практике не щупал, да и теории много не копал

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-25 17:43:53
kharkov_max
По ману racoon.conf для keepalive нужно включить при инсталяции порта NAT-T
может кто нить объяснить что это за опция, что она даст и поможет ли в моей ситуации ?

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-25 20:45:53
FreeBSP
http://forum.lissyara.su/viewtopic.php? ... ec#p221504
FreeBSP писал(а):agat,
фишка в том что при нате вносятся изменения в пакет, в том то и состоит нат. а IPSEC, насколько я знаю, содержит средства проверки целостности не только инкапсулированных данных, но и пакта - носителя. а поскольку целостность нарушается, то пакет становится невалидным и отбрасывается. таким образом установление ipsec соединения через нат невозможно. для решения проблемы была сделана технология NAT_Traversal(или както так похоже называется). там фишка в том что данные инкапсулируются в UDP пакты, которые нормально проходят нат.

вот
наверняка что то напутал, но идея вроде такая
для включения нат-т может потребоваться пересборка ядра и появился nat-t только в восьмерке. на 7.2 нормально пропатчить ядро я не смог
//************************************************
это технология для работы ipsec сквозь нат. надо ли вам это - зависит от того как ходят пакеты

Re: Пару вопросов по ipsec-tools

Добавлено: 2010-03-25 21:58:15
kharkov_max
Спасибо за разъяснения ...

Ну тогда получается какая то безвыходная ситуация.
Выходит так что средствами ipsec-tools невозможно поддерживать тунель постоянно.
И во время смены ключа, а если пакеты не ходят то ключ после окончания времени действия не поменяется, будут задержки, по времени ровно на формирование новых ключей и установке связи по ним.

Что то тут не так ...